Django 存在 ASGI 头部伪造漏洞，通过下划线/连字符混淆实现

攻击者可以利用此漏洞伪造 HTTP 请求头，从而绕过安全检查，执行未经授权的操作。例如，攻击者可以伪造 X-Forwarded-For 头部来隐藏其真实 IP 地址，或者伪造 Authorization 头部来冒充其他用户。这种头部伪造可能导致敏感信息泄露、权限提升，甚至可能允许攻击者完全控制受影响的应用程序。由于 Django 广泛应用于 Web 开发，因此该漏洞的潜在影响范围非常广泛，可能影响大量用户和系统。虽然目前没有公开的利用代码，但该漏洞的严重性提示攻击者可能会积极寻找利用方法。

Applications heavily reliant on HTTP headers for authentication, authorization, or input validation are particularly at risk. Django projects using older, unsupported versions (5.0.x, 4.1.x, 3.2.x) are also vulnerable, despite not being formally evaluated. Shared hosting environments where header manipulation could impact multiple applications should prioritize patching.

• python / server:

# Check Django version
python -c "import django; print(django.get_version())"

• generic web:

# Inspect access logs for unusual header patterns (e.g., multiple headers with slight variations)
grep -i 'header_name_with_hyphens|header_name_with_underscores' /var/log/apache2/access.log

1. 2026-04-07Disclosure

   disclosure

1. 已保留2026-03-10
2. 发布日期2026-04-07
3. 修改日期2026-04-09
4. EPSS 更新日期2026-04-15

最有效的缓解措施是升级到 Django 6.0.4 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查应用程序代码，确保对所有请求头进行适当的验证和清理，防止恶意头部信息被传递到后端系统。其次，配置 Web 服务器或反向代理，以过滤或删除可疑的请求头。此外，可以考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止头部伪造攻击。最后，监控应用程序的日志，以便及时发现和响应潜在的攻击活动。升级后，请验证新版本是否正确修复了漏洞，并确保应用程序的功能正常。